Upload
adam-mizerski
View
937
Download
0
Embed Size (px)
Citation preview
WDRAŻANIE
PN-ISO/IEC 27001
W WARUNKACH URZĘDU
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Adam Mizerski:
audytor systemów teleinformatycznych, ekspert ds. bezpieczeństwa (twórca portalu http://www.itsecurity24.info/) oraz metod zintegrowanej analizy ryzyka jak również zarządzania IT. Specjalista z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych wartości spółek giełdowych. Wieloletni „karbowy XXI wieku” czyli szef działu IT.
Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych (afiliacja w ISACA International), wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego, członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
„ S TOWA R Z YS Z E N I E AU DY T U, KO N T R O L I I B E Z P I EC Z E Ń S T WA SYS T E M Ó W I N F O R M A C YJ N YC H ” P OW S TA Ł O W 2 0 1 1 R O KU, Z I N I C JAT Y W Y C Z Ł O N KÓ W I S AC A Z M A Ł O P O L S K I I Ś L Ą S K A . W LU T Y M 2 0 1 2 R . , JA KO I S A C A K ATO W I C E C H A P T E R U Z Y S K A Ł O A F I L I A C J Ę O D I S A C A I N T E R N AT I O N A L - O R G A N I Z A C J I DZ I A Ł A JĄ C E J O D 1 9 6 7 R O KU, K TÓ R E J C Z Ł O N K A M I N A C A Ł Y M Ś W I EC I E J E S T P O N A D 1 0 9 0 0 0 P R O F E S J O N A L I S TÓW.
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
C E L A M I S TA T U T O W Y M I S T O W A R Z Y S Z E N I A I S A C A K A T O W I C E C H A P T E R S Ą :
P R O M O W A N I E W I E D Z Y D O T Y C Z Ą C E J N O R M , S TA N D A R D Ó W I D O B R Y C H P R A K T Y K Z A R Z Ą D Z A N I A S Y S T E M A M I I N F O R M A C Y J N Y M I ,
D Z I A Ł A L N O Ś Ć E D U K A C Y J N A I N A U K O W A S Ł U Ż Ą C A P O D N O S Z E N I U O R A Z R O Z W I J A N I U W I E D Z Y I U M I E J Ę T N O Ś C I W Z A K R E S I E Z A R Z Ą D Z A N I A , A U D Y T U I Z A P E W N I E N I A B E Z P I E C Z E Ń S T W A S Y S T E M Ó W I N F O R M A C Y J N Y C H – W T Y M O R G A N I Z A C J A S Z K O L E Ń P R Z Y G O T O W U J Ą C Y C H N A E G Z A M I N Y U M O Ż L I W I A J Ą C E U Z Y S K A N I E P R E S T I Ż O W Y C H C E R T Y F I K AT Ó W C I S A , C I S M , C R I S C , C G E I T, C S X ,
Ś W I A D C Z E N I E U S Ł U G O P I N I O D A W C Z Y C H I D O R A D C Z Y C H W D Z I E D Z I N I E Z A R Z Ą D Z A N I A , A U D Y T U I K O N T R O L I S Y S T E M Ó W I N F O R M A C Y J N Y C H O R A Z B E Z P I E C Z E Ń S T W A I N F O R M A C J I .
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
W W Y N I K U I N T E N S Y W N E G O R O Z W O J U I S A C A K A T O W I C E C H A P T E R , W R O K U 2 0 1 3 C H A P T E R S U P P O R T C O M M I T T E E P R Z Y Z N A Ł I S A C A K A T O W I C E N A G R O D Ę W K A T E G O R I I M A Ł E G O O D D Z I A Ł U Z A O S I Ą G N I Ę C I E 4 2 % W Z R O S T U L I C Z B Y C Z Ł O N K Ó W – 2 0 1 3 G R O W T H A W A R D W I N N E R F O R S M A L L C H A P T E R , K T Ó R A Z O S T A Ł A W R Ę C Z O N A P R E Z E S O W I Z A R Z Ą D U , W R A M A C H M I Ę D Z Y N A R O D O W E J K O N F E R E N C J I L I D E R Ó W I S A C A W L A S V E G A S , W 2 0 1 4 R .
ZAPRASZAMY DO WSPÓŁPRACY
WIĘCEJ INFORMAC JI NA STRONIE
WWW.ISACA.KATOWICE.PL
J E D N O C Z E Ś N I E P R Z E K R A C Z A J Ą C L I C Z B Ę S T U C Z Ł O N K Ó W , I S A C A K A T O W I C E P R Z E S U N Ę Ł A S I Ę D O G R U P Y M E D I U M C H A P T E R S .
WDRAŻANIE
PN-ISO/IEC 27001
W WARUNKACH URZĘDU
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
S Z E F I T = „ K A R B O W Y X X I W I E K U ” ( 8 L AT )
A K T U A L N I E D E PA R TA M E N T A U D Y T U W E W N Ę T R Z N E G O
WDRAŻANIE
PN-ISO/IEC 27001
OKIEM „KARBOWEGO XXI WIEKU”
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
CZY WARTO WDRAŻAĆ
PN-ISO/IEC 27001
W WARUNKACH URZĘDU ?
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
K R IXIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
https
://o
penc
lipar
t.org
/det
ail/1
8269
/cro
w-fl
ying
-dow
n
K R A
K R A
https
://o
penc
lipar
t.org
/det
ail/1
9251
0/2-
flieg
ende
-kra
ehen
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
§ 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
I TAK DO PKT 14 !!!
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:1) PN-ISO/IEC 17799 - w odniesieniu do
ustanawiania zabezpieczeń;2) PN-ISO/IEC 27005 - w odniesieniu do
zarządzania ryzykiem;3) PN-ISO/IEC 24762 - w odniesieniu do
odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:1) PN-ISO/IEC 17799 - w odniesieniu do
ustanawiania zabezpieczeń;2) PN-ISO/IEC 27005 - w odniesieniu do
zarządzania ryzykiem;3) PN-ISO/IEC 24762 - w odniesieniu do
odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
http://www.itsecurity24.info
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
http://www.itsecurity24.info
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
http://www.itsecurity24.info
Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji:
TAKIE SYSTEMOWE DZIAŁANIE
DAJE WYKORZYSTANIE
PN-ISO/IEC 27001
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
PN-ISO/IEC 27001
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
PN-ISO/IEC 27005
PN-ISO/IEC 27002
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
PN-ISO/IEC 27005:2014-01 - wersja polskaTechnika informatyczna - Techniki bezpieczeństwa
Zarządzanie ryzykiem w bezpieczeństwie informacjiZakresW niniejszej Normie Międzynarodowej podano wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji.
W niniejszej Normie Międzynarodowej rozwinięto ogólne koncepcje określone w ISO/IEC 27001, opracowano ją w celu wsparcia satysfakcjonującego wdrożenia podejścia do bezpieczeństwa opartego na zarządzaniu ryzykiem.
Znajomość koncepcji, modeli, procesów i terminologii podanych w ISO/IEC 27001 oraz ISO/IEC 27002 jest istotna dla zrozumienia niniejszej Normy Międzynarodowej.
Niniejsza Norma Międzynarodowa ma zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non-profit), które zamierzają zarządzać ryzykami, które mogą spowodować naruszenie bezpieczeństwa informacji w tych organizacjach.
http://sklep.pkn.pl/pn-iso-iec-27005-2014-01p.html
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
PN-ISO/IEC 27002:2014-12 - wersja polskaTechnika informatyczna - Techniki bezpieczeństwa
Praktyczne zasady zabezpieczania informacjiZakresW niniejszej Normie Międzynarodowej podano zalecenia dotyczące standardów bezpieczeństwa informacji w organizacjach i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru, wdrażania i zarządzania zabezpieczeniami, z uwzględnieniem środowiska (środowisk) w którym (których) w organizacji występuje (-ą) ryzyko w bezpieczeństwie informacji.
Niniejsza Norma Międzynarodowa jest przeznaczona do stosowania przez organizacje, które zamierzają:a) wybierać zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO/IEC 27001;b) wdrażać powszechnie akceptowane zabezpieczenia informacji;c) opracować własne zalecenia w zakresie zarządzania bezpieczeństwem informacji.
http://sklep.pkn.pl/pn-iso-iec-27002-2014-12p.html
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
PN-ISO/IEC 27001
https
://o
penc
lipar
t.org
/det
ail/1
8991
6/st
andi
ng-u
nico
rn
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Sformułowano następujące hipotezy badawcze:Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za
pomocą systemów teleinformatycznych zgodnie z przepisami KRI.Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami realizowanymi za pomocą systemów teleinformatycznych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu
zarządzania bezpieczeństwem informacji.Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy
od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służących
do prezentacji zasobów informacji nie jest zgodnych ze standardem WCAG 2.0.
Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów teleinformatycznych służących do prezentacji zasobów informacji ze
standardem WCAG 2.0.Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanych
jednostek.
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Z BADANIA PTI:
NA OK 330 URZĘDÓW:
NORMĘ 27001 POSIADA TYLKO
26 !?!** DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Z BADANIA PTI:
* DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI
Urząd Marszałkowski Województwa Podkarpackiego 2014Urząd Miasta Bydgoszcz GM 2014
Urząd Miasta Jastrzębie Zdrój MNP 2014
Urząd Miasta Kielce MNP 2014Urząd Miasta Legnica GM 2014Urząd Miasta Ostróda GM 2011
Urząd Miasta Piotrkowa Trybunalskiego MNP 2012Urząd Miasta Wałbrzych GM 2008
Urząd Miejski w Wolsztynie GM 2012
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
W WARUNKACH URZĘDU
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT IT ???
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT ORGANIZACJI
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT ORGANIZACJIMUSI BYĆ „SPONSOR”
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
W MODELU ITIL
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
W MODELU ITILFORUM BEZPIECZEŃSTWA
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
FORUM BEZPIECZEŃSTWA :
Przywództwo Reprezentatywność Regularne spotkania Przegląd „Załącznika A” w modelu PDCA Burza mózgów + cele S .M.A.R .T
+ „quick win”
https
://o
penc
lipar
t.org
/det
ail/3
977/
stop
wat
ch-n
o-sh
adin
g
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Czarny sen administratora
(szukając pomocy w
ISO/IEC 22301 i COBIT 5)
Nie/Płacz po katastrofie: PN-ISO/IEC 24762:2010
Źródło: http://www.itwadministracji.pl/numery/kwiecien-2015/apetyt-na-ryzyko.html
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
D Z I Ę K U J EZ A
U W A G ĘAdam Mizerski [email protected] 507-071-401
www.isaca.katowice.pl
www.slideshare.net/AdamMizerski www.itsecurity24.info